Або як користуватися електронним банком і не стати жертвою шахраїв
Як я зазначав в іншій статті, сьогодні, крім матеріальних благ, нематеріальні товари та права також вважаються власністю. В епоху цифрових технологій їх спеціально називають "Інформаційні активи".
Якщо час від часу шахраї прагнули отримати фінансові вигоди від інформаційних активів, якими управляють банки для своїх власників, їхні клієнти, журналісти, як начальник служби безпеки в неназваному великому банку, часто запитували мене, як конкретно подія насправді трапилось, характер нападу і що могло перешкодити такому вчинку. Я спробую узагальнити основні вектори нападу на електронні банківські системи в даний час.
Я хотів би заздалегідь наголосити, що назва статті навмисно вводить в оману. У переважній більшості випадків це не складні проникнення та порушення периметра мережі банку, а особливо крадіжка особистих даних у поєднанні з технологіями соціальної інженерії.
Банки, шахраї та хакери
Вважайте, що банки витрачають значні ресурси на мінімізацію ризиків та захист від можливих атак на активи клієнтів. Кожен, навіть самий безневинний компроміс, принаймні впливає на репутацію банку. Цей ризик називається авторитетний. Оцінка репутаційного ризику є предметом повсякденного процесу управління ризиками банку. Навіть часткову втрату репутації не може дозволити собі жоден банк у цьому делікатному бізнесі, оскільки він втратить потенційний прибуток. На додаток до збитків, успішна атака на банк може також призвести до величезних штрафів з боку регулятора фінансового ринку, в крайньому випадку до анулювання банківської ліцензії.
Тому безперервна оцінка ІТ-ризиків є обов'язковою частиною внутрішніх процесів банків. Однак, незважаючи на те, що управління ІТ-ризиками є складним процесом, банки мають певний недолік - і це парадокс часу у захисті інформаційних активів. Банки повинні знати про поточну та майбутню вартість інформаційних активів, про період, протягом якого вони хочуть їх захистити, і в той же час вони повинні розрахувати поточні витрати, необхідні для здійснення контрзаходів. Оцінка ризику повинна включати оцінку вартості інформаційних активів для зловмисників та ціни, за якою зловмисники можуть порушити захист, що застосовується.
Суперечність полягає в тому, що, хоча заходи безпеки потрібно сплачувати негайно, зловмисники можуть почекати з атакою, поки атака не стане для них більш ефективною. Зловмисники встигають на свою атаку, банки не встигають на контрзаходи. У цьому зловмисники завжди матимуть "верх", бо вони попереду.
Зауважте, що я уникаю терміна "хакери". Оскільки рішучий хакер вважається "хакером" (також словацькою мовою, також менш уживаним терміном "проникник"), який має відповідні навички порушувати захист периметра мережі технічними засобами. Тобто особа, яка настільки технічно володіє, що навіть не обманюючи, вона може отримати достатні права доступу до внутрішніх систем банку із зовнішнього середовища. Соціальна інженерія, введення в оману, фальшива поведінка, уособлення, обман клієнта та маніпуляції з ім’ям клієнта, безсумнівно, не є технічними навичками. Шахрай - це не хакер. І багато в чому все навпаки.
"Поверхня атаки" - це сума всіх точок вводу-виводу віртуального середовища, через які несанкціонований користувач, тобто зловмисник може спробувати ввести дані або витягти дані з цього середовища. Таким чином, вектор атаки - це в переносному значенні будь-який шлях, кожен метод, кожна уразливість або будь-який технічний засіб, який зловмисник може використовувати для несанкціонованого доступу до інформаційних ресурсів.
Діяльність клієнта в системі електронного банкінгу - це перший крок, заснований на аутентифікації користувачів. Аутентифікація - це процес перевірки ідентичності користувача, тобто. з’ясувати, чи справді надана користувачем особа справжня. У випадку електронного банкінгу це навіть юридичний обов'язок банку підтвердити вашу особу. Без підтвердження особи клієнт не входить в систему. Крапка.
Ось прихована суть зусиль тих, хто хоче отримати несанкціонований доступ до грошей клієнтів. Вони розглядають таку логіку: "якщо нам вдасться переконати електронний банк, що ми є законним клієнтом, ми зможемо розпоряджатися коштами клієнта на його рахунку". Але як цього досягти?
"Класичний" фішинг
Умовою вчинення цього виду злочину є те, що зловмисник заздалегідь підготував найдосконалішу копію оригінального електронного банківського сервера відповідного банку. Чим більше ця копія схожа на оригінальну сторінку EB, тим більша ймовірність того, що неуважний клієнт потрапить.
На другому етапі зловмисник надсилає на велику кількість викликів електронної пошти Електронні листи про "фішинг", в яких він прикидається банком і від імені банку просить клієнтів увійти на адресу невдалого фальшивого сервера EB. Причини різні - від необхідності певного технічного обслуговування, до попередження про можливий вірус із рекомендацією змінити пароль. Важливо якомога більше імітувати банківський сленг і якомога більше обґрунтовувати необхідність входу в фіктивну URL-адресу.
На третьому кроці клієнта ловлять. Добросовісно, натискаючи випадаючий рядок, він входить на сервер EB свого банку, фактично потрапляє лише у форму входу на підроблений сервер, єдиним завданням якого є перехоплення даних входу клієнта та надсилання їх на сервер збору зловмисників. “Сервер).
Останній крок очевидний - зловмисник використовує викрадені дані для входу для входу в електронний банкінг від імені клієнта та введення реального замовлення на переказ. Як номер рахунку одержувача зловмисники зазвичай використовують т. Зв Білі коні.
Термін "жаргон білого коня" позначає особу, яка підтягнута, щоб прикрити особу справжнього злочинця. Білого коня часто примушують виконувати роль білого коня, але це може бути і наївна або неосвічена особа, яка може не підозрювати, що вчиняє злочин. Людей часто використовують як білих коней, які через їх вік чи психічний стан судом судять незначно або утримуються від покарання.
Схема фішингового вектора показана на наступному малюнку:
Використання цього вектора атаки має значний недолік для зловмисників. Усі відомі банки використовують одноразовий динамічний пароль (OTP) для автентифікації користувачів, а також для авторизації транзакцій. Більшість банків використовують багатофакторну автентифікацію, а деякі банки мають додаткові системи для виявлення можливого шахрайства. Сервери та мережеве обладнання банків обробляються належним чином. Це не стане можливим без часткових маніпуляцій з клієнтом.
MITM (Man In the Middle) - "людина посередині"
І тут наявність ідеальної копії оригінального сервера електронного банку відповідного банку є умовою вчинення злочину. Крім того, зловмисник повинен мати готову підроблену копію програмного забезпечення клієнта EB, а також механізм для перенаправлення оригінального зашифрованого зв'язку між клієнтом та сервером. Цей інструмент є шкідливим кодом, таким як "троянський кінь", який клієнт банку повинен був раніше заразити.
Захоплення та дешифрування зв'язку під час атаки MITM виглядає так:
На другому кроці, хоча клієнт добросовісно входить на адресу оригінального сервера EB свого банку, завдяки троянському коню, керованому зловмисником, весь зв’язок доступний у незашифрованому вигляді зловмиснику, який може змінити будь-який дані, які клієнт надсилає банку. Звичайно, предметом змін є номер рахунку одержувача та надіслана сума.
Останній крок схожий на випадок фішингу - хоча клієнт входить в електронний банкінг і вводить реальне замовлення на переказ. Однак він не уявляє, що надіслані ним дані будуть відрізнятися від даних, отриманих банком, оскільки тим часом зловмисник їх змінив. В якості номера рахунку одержувача зловмисники знову використовують т. Зв Білі коні.
MITB (Man In The Browser) - "Людина в браузері"
Атака MITB вже є однією з найскладніших, хоча навіть у цій атаці зловмисник покладається на певний рівень безвідповідальності клієнта.
Спочатку зловмисник повинен переконатись, що на комп'ютер клієнта проникає спеціалізований троянський кінь, спеціально пристосований для атак на банки. Зазвичай це базується на припущенні, що комп'ютер клієнта не захищений жодною зі стандартних антивірусних програм.
Клієнт входить на фактичну сторінку електронного банкінгу свого банку. Троянець забезпечить, щоб модифікований вміст вводився в оригінальний вміст веб-форми, який клієнт бачить у фоновому режимі без відома клієнта. Як зазвичай, предметом змін є номер рахунку одержувача та надіслана сума. Клієнт надсилає платіжне доручення, не знаючи, що він надсилає в банк щось інше, ніж бачить.
Схема вектора атаки MITB показана на наступному малюнку:
Для того, щоб обдурити механізм авторизації, зловмисник також намагається забезпечити, щоб троянський кінь на зараженому комп'ютері гарантував, що авторизаційне SMS надсилається на інший номер, ніж номер мобільного телефону клієнта за замовчуванням. В іншому випадку, якщо ви покладаєтеся на недбалість або неуважність клієнта, ви ризикуєте можливістю підтвердження клієнтом платежу, навіть якщо це неправильно - про що свідчать змінені дані в авторизаційному SMS.
Цікаво, а що, якщо банк використовує інший механізм для санкціонування платежів, наприклад, дані токенів SW? Зухвалість нападників не має меж. Були також випадки, коли шахраї дзвонили на мобільний телефон клієнта відразу після надсилання внесеного внесеного платежу, представляли себе банком і запитували у клієнта дані авторизації з токена. Напевно, нема чого додати, що деякі клієнти можуть передавати ці дані абсолютно невідомому абоненту.
Smishing - атаки на аутентифікацію SMS
За підрахунками, у Словаччині понад 60% людей уже мають смартфон або інший тип потужних мобільних пристроїв із високошвидкісним Інтернетом. Переважна частина цих пристроїв базується на операційній системі Android. Було лише питання часу, коли підземний світ програмування також зосередився на розробці шкідливого коду для цієї операційної системи. На жаль, сьогоднішньою реальністю є існування троянців, орієнтованих на платформу Android. І як інакше - одним із головних завдань цього шкідливого кодексу є будь-яка форма фінансової вигоди, зусилля щодо відбілювання рахунків клієнтів банку, в т.ч.
Найзайнятішою формою використання шкідливих програм Android є атаки на автентифікацію через SMS. Таким чином, атака працює?
Клієнт несвідомо завантажує заражене програмне забезпечення, переважно з різних сумнівних веб-сайтів або з неофіційних сховищ програмного забезпечення Android. Скажімо, він заражається якимось видом троянського коня, який націлений на банки.
Якщо банк використовує SMS як канал зв'язку для аутентифікації або авторизації, то перенаправити таке аутентифікаційне SMS на зловмисника або одночасно приховати його від початкового одержувача є буквально тривіальною справою. Решта атак тоді дуже схожа на фішинг, за винятком того, що зловмиснику не потрібно надсилати жодних запитів електронної пошти, оскільки мобільний телефон клієнта автоматично надсилатиме йому дані автентифікації, навіть без взаємодії з клієнтом.
Боляче лише в тому випадку, якщо деякі банки не підтримують інші канали автентифікації, крім надсилання одноразового пароля через SMS. Однак слід сказати, що навіть якщо банк надає клієнтам інші засоби автентифікації, надзвичайно важко переконати масу клієнтів добровільно залишити аутентифікацію SMS і замінити її, наприклад, SW, HW або EMV токеном. Але ми поговоримо про це в одній із наступних статей.
Будьте підозрілими, якщо хтось зателефонує вам і представиться працівником вашого банку. Банк ніколи не буде активно запитувати дані автентифікації клієнта, якщо тільки клієнт не вирішить увійти у відповідну систему. А банк взагалі не робив би це по телефону. Швидко закінчіть підозрілу розмову та зв’яжіться з банком особисто або за номером телефону, опублікованим на веб-сайті банку.
За жодних обставин не передавайте будь-які конфіденційні особисті дані, дані авторизації (авторизаційні SMS або коди з інших авторизаційних пристроїв), паролі доступу до Інтернет-банкінгу або номер платіжної картки іншим особам. Поділитися своєю цифровою ідентичністю навіть із членами сім’ї - звичка, яка рано чи пізно призводить до проблем.
Я ще раз підкреслюю, що антивірусна програма та брандмауер програмного забезпечення як на комп’ютері, так і на смартфоні сьогодні повинні розглядатися як абсолютна необхідність. Більш докладні інструкції щодо захисту комп'ютера я дав у статті Десять захищених комп'ютерів.
Щодо самої автентифікації для електронних банківських систем, виберіть більш безпечний елемент автентифікації, ніж SMS - наприклад, програмний чи апаратний маркер, зчитувач карток або криптографічні механізми автентифікації (наприклад, автентифікація за допомогою сертифіката електронного підпису, якщо банк підтримує).
Однак не все можна вирішити технічними контрзаходами. Найбільш ризикованим елементом усього інтернет-банкінгу є сам клієнт. Тому будьте пильні, дійте вдумливо і, нарешті, але не менш важливо, тримайте сповіщення про активність у своєму обліковому записі. Багато клієнтів рятували свої гроші від описаних вище типів атак лише завдяки своїй увазі та негайній реакції на несанкціоновані платежі.